如何抵御DDoS 攻擊是目前各大網(wǎng)絡(luò)廠商都在關(guān)注的話題。DDoS攻擊是指故意的攻擊網(wǎng)絡(luò)協(xié)議實現(xiàn)的缺陷或直接通過野蠻手段殘忍地耗盡被攻擊對象的資源，LOTC是一個最受歡迎的DOS攻擊工具。 這個工具被去年流行的黑客集團匿名者用于對許多大公司的網(wǎng)絡(luò)攻擊。

由于分布式拒絕服務（DDoS）攻擊的廣泛性和危害性，現(xiàn)在幾乎所有企業(yè)都已經(jīng)認識到并開始部署強大的防御措施來監(jiān)測和緩解 DDoS 攻擊。但是，并不是有了這些防御措施就可以高枕無憂。應對 DDoS 攻擊，企業(yè)還需要認真制定事件響應方案和流程，否則在防御上的所有投入很容易化為烏有。

曾有一家國際性網(wǎng)絡(luò)游戲公司就因此遭受到慘痛的教訓。該公司把自己托付給了一家著名的DDoS托管服務公司，認為得到了很好的保護。然而，在一個星期天，公司相關(guān)關(guān)鍵員工不在崗，一系列容量耗盡攻擊瞄準并最終攻破了它。只有少數(shù)高級別員工聯(lián)系到了DDoS服務供應商來處理事件，但不幸的是，一切都太晚了。等他們發(fā)現(xiàn)問題后，公司內(nèi)部團隊和服務供應商還撥錯了會議電話號碼，進一步延遲了對事件的響應。結(jié)果，緩解措施生效時為時已晚，游戲服務宕機超過90分鐘。網(wǎng)絡(luò)游戲玩家要的是高質(zhì)量、超快速的服務，不能接受無法連網(wǎng)，完全可能去別的游戲網(wǎng)站。這一事件導致這家游戲公司至少損失了100萬美元的收入。此外，還有客戶關(guān)系的受損，以及為留住這些玩家要進行的推廣等費用這些都是DDoS成功攻擊后造成的其他長期后果。

DDoS服務供應商會出現(xiàn)什么問題？

到底哪里出了問題？與一家著名的DDoS保護服務供應商簽署了協(xié)議后，這家安全工作人員很少的游戲公司感到很安全。他們沒有充分意識到，而且DDoS服務供應商也沒有解釋清楚的是，速度是事件響應和成功緩解威脅的關(guān)鍵因素。

安全部門從未受過培訓;也沒有針對這類不測事件進行過實踐演練。所有信息的傳遞和轉(zhuǎn)換都只是取決于某一兩個人的知識和權(quán)威。

對于DDoS攻擊，事件響應往往會滯后。那么，一個有效的事件響應流程應該是什么樣子？把它分為六步就很清楚了，需要注意的是，這六個階段不應該是線性，而應該是循環(huán)的。

第一步：準備

這可能是最困難但也是最重要的階段，因為它奠定了基礎(chǔ)。如果沒有充分的準備，失敗幾乎是必然的。在攻擊過程中，沒有時間去弄清楚怎么進行響應。

首先，建立團隊并分配職責。通常來說應對高級威脅是安全運營部門的責任，DDoS防御則由網(wǎng)絡(luò)部門負責，而不是安全部門。在攻擊期間，打破這些壁壘對于溝通至關(guān)重要。應該建立上下游關(guān)系以及溝通流程——規(guī)定誰給誰打電話，為什么等等。

第二步：識別

缺乏網(wǎng)絡(luò)可見性，企業(yè)就缺乏必要的信息，不知道糟糕的服務或者應用程序性能下降是DDoS攻擊數(shù)據(jù)流造成的還是網(wǎng)絡(luò)錯誤配置造成的。內(nèi)部部署解決方案可以提供快速診斷問題所需的關(guān)鍵數(shù)據(jù)流可見性，節(jié)省IT和網(wǎng)絡(luò)部門寶貴的時間，同時提高性能。

第三步：分類

看到什么樣的攻擊？ 了解它會怎樣繼續(xù)下去，以及需要采取什么樣的對策。

第四步：追溯

查明攻擊的來源——從何而來？它會影響哪里的網(wǎng)絡(luò)以及怎樣影響？這有助于辨別所看到的其他網(wǎng)絡(luò)問題是否與攻擊有關(guān)。

第五步：反應

在發(fā)現(xiàn)攻擊并進行分類和跟蹤之后，一般就能更好地準備應用最合適的緩解工具。沒有一種工具或者方法能夠適用于所有情形。最好是手邊有不同的工具包，并盡可能利用自動響應功能。

第六步：事后

分析發(fā)生了什么？學到什么？如何能做得更好？每個人都錯過了哪一步驟？下一次如何能反應更快，更輕松一些？針對發(fā)現(xiàn)的任何具體問題，回到第一階段，將其應用到準備過程中。

通過最佳實踐防御來加強反應能力

文章開頭提到的那家網(wǎng)絡(luò)游戲運營商的經(jīng)歷也凸顯了混合檢測和緩解解決方案的必要性。這種解決方案結(jié)合了基于云和本地部署的保護功能，目前大部分安全分析師都認為這是一種DDoS緩解的最佳實踐。如果只是基于云的服務，當攻擊已經(jīng)開始時，往往由客戶負責通知MSSP。本地部署的DDoS解決方案（設(shè)備的或者虛擬的）提供了網(wǎng)絡(luò)可見性，并有一些內(nèi)置的對抗措施，在意識到攻擊之前，檢測到攻擊時就會自動啟動對抗措施，而無需人工干預。這能夠節(jié)省寶貴的時間來啟動和協(xié)調(diào)事件響應計劃。

在最佳實踐應用場景中，本地部署和基于云的防御措施實現(xiàn)無縫保護。通過先進的“云信令”，當網(wǎng)絡(luò)中的攻擊流量達到設(shè)定容量時，本地部署設(shè)備通知云基礎(chǔ)設(shè)施啟動緩解措施。

毫無疑問，自動化提供了事件響應中的關(guān)鍵優(yōu)勢。但不能完全依賴它，事件響應計劃仍然需要。攻擊者肯定會采用先進的技術(shù)，但他們真正的優(yōu)勢在于其狡詐性。要想高效應對DDoS，應該把先進技術(shù)和人類智能結(jié)合起來，以阻止不正當?shù)男袨?。實踐，實踐，再實踐。